首页 > 安全钻研 > 安全传递 > 安全公告

微软SMBv3和谈远程代码执行缝隙建复建议

颁布功夫 2020-03-14

缝隙编号和级别

CVE编号：CVE-2020-0796，，，，，，危险级别：严沉，，，，，，CVSS分值：官方未评定

影响版本

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows Server, version 1909 (Server Core installation)

缝隙概述

3月12日，，，，，，微软更新安全公告针对Windows SMBv3客户端/服务器远程代码执行缝隙垂危颁布了安全补丁，，，，，，确定该缝隙编号为CVE-2020-0796。。。。。。。

Microsoft Server Message Block 3.1.1(SMBv3)和谈在处置某些要求的方式中存在代码执行缝隙。。。。。。。攻击者能够精心机关数据包发送到SMB服务器，，，，，，无需经过身份验证，，，，，，即可在指标服务器上执行肆意代码。。。。。。。攻击者可通过部署一台恶意SMB v3服务器，，，，，，并诱导用户（客户端）衔接到该服务器，，，，，，一旦指标用户衔接，，，，，，即可在推算机上执行攻击者自界说的恶意代码。。。。。。。

由于上述缝隙易被蠕虫利用传布恶意法式，，，，，，揣摩可能在将来会成为恶意软件和攻击者宽泛利用的缝隙，，，，，，与2017年5月“永恒之蓝”缝隙较为类似。。。。。。。

缝隙检测

1. 系统版本检测

查看自己使用的Windows版本是否为受影响的版本，，，，，，步骤如下：

使用Win + R后输入“WinVer”查看当前操作系统的版本号。。。。。。。若是版本号显示为1903或1909，，，，，，则证明受此缝隙影响，，，，，，建议立即装置补丁。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

2. 补丁检测

在受影响领域内的操作系统中，，，，，，可执行以下号令查看补丁装置的情况。。。。。。。

systeminfo | findstr KB4551762

号令执行实现后若是没有查问到KB4551762补丁，，，，，，则该系统存在安全风险。。。。。。。

3. 工具检测

此缝隙在网上已有公开的检测工具，，，，，，经验证下列剧本可对SMB版本进行检测，，，，，，有关用户

可自行选择下载使用。。。。。。。

Python检测剧本

下载链接：https://github.com/ollypwn/SMBGhost/blob/master/scanner.py

Nmap检测剧本(nse剧本)

下载链接：https://github.com/cyberstruggle/DeltaGroup/blob/master/CVE-2020-0796/CVE-2020-0796.nse

Powershell检测剧本

下载链接：https://github.com/T13nn3s/CVE-2020-0976/blob/master/CVE-2020-0796-Smbv3-checker.ps1

4. 产品检测

8827太阳集团天镜脆弱性扫描与治理系统V6.0产品已具备对此缝隙（CVE-2020-0796）的扫描检测能力，，，，，，6070版本升级包为607000278，，，，，，升级包下载地址：/article/type/1/146.html。。。。。。。

建复建议

微软官方已针对该缝隙颁布了安全补丁KB4551762，，，，，，建议受影响用户开启系统自动更新装置该补丁进行防护。。。。。。。

注：由于网络问题、推算机环境问题等原因，，，，，，Windows Update的补丁更新可能出现失败。。。。。。。用户在装置补丁后，，，，，，应实时查抄补丁是否成功更新。。。。。。。右键点击桌面左下角的Windows图标，，，，，，选择“设置(N)”，，，，，，选择“更新和安全”-“Windows更新”，，，，，，查看该页面上的提醒信息，，，，，，也可点击“查看更新汗青纪录”查看汗青更新情况，，，，，，确认其中是否蕴含“KB4551762”

若出现未成功装置更新补丁的情况，，，，，，可从官网下载离线装置包进行更新，，，，，，下载链接如下：

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762

缓解措施：

1．禁用SMBv3压缩

步骤一：使用以下PowerShell号令禁用压缩职能，，，，，，以阻止未经身份验证的攻击者利用SMBv3 服务器的缝隙。。。。。。。

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

用户可通过以下PowerShell号令撤销禁用压缩职能

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force

步骤二：右键点击桌面左下角的Windows图标，，，，，，在弹出菜单当选择“运杏妆菜单项，，，，，，在弹出的运行框中输入regedit，，，，，，打开注册表编纂器。。。。。。。

在 “HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”目录中增长一个DWORD类型的注册表项DisableCompression ，，，，，，数值为1。。。。。。。

如需撤销禁用SMBv3压缩职能，，，，，，将该注册表项数值批改为0或删除注册表项即可。。。。。。。

注：利用以上步骤进行更改后，，，，，，无需沉启即可生效；；；；；；；；该步骤仅可用来防护针对SMB服务器（SMB SERVER）的攻击，，，，，，无法对SMB客户端（SMB Client）进行防护。。。。。。。

2. 设置防火墙战术

在天堑防火墙做好安全战术阻止SMB通讯流出企业内部，，，，，，详情可参考微软官方的指南：https://support.microsoft.com/zh-cn/help/3185535/preventing-smb-traffic-from-lateral-connections。。。。。。。

3. 产品防护

针对此缝隙，，，，，，8827太阳集团IDS、IPS、WAF、APT产品已颁布规定升级包，，，，，，下载地址：/article/type/1/140.html。。。。。。。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

8827太阳集团

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系8827太阳集团

安全钻研

微软SMBv3和谈远程代码执行缝隙建复建议

关于8827太阳集团

解决规划

安全钻研

联系8827太阳集团

7*24幼时服务热线